Die Expansion der Großstädte und die Bildung von Agglomerationen sind heute eines der wichtigen sozialen Entwicklungstrends. Allein Moskau wird im Jahr 2019 um 4 Millionen Quadratmeter Wohnraum wachsen (und das sind noch keine 15 Siedlungen, die bis 2020 angeschlossen werden). Auf diesem riesigen Gebiet müssen die Betreiber den Nutzern Zugang zum Internet bieten. Dies können sowohl städtische Wohnviertel mit dichter Mehrfamilienbebauung als auch „lockerer“ gefasste Siedlungen sein. In diesen Fällen variieren die Anforderungen an die Ausstattung ein wenig. Wir haben jedes dieser Szenarien analysiert und ein universelles Modell eines optischen Switches – T2600G-28SQ – entwickelt. In diesem Beitrag werden wir die Funktionen des Geräts im Detail besprechen, die für Telekommunikationsanbieter in ganz Russland von Interesse sein werden.

Platz im Netz
Der T2600G-28SQ Switch ist sowohl für den Einsatz im Zugriffsniveau des Netzwerks als auch zur Aggregation von Links von anderen Zugriffsswitches konzipiert. Es handelt sich um einen Switch der zweiten Ebene, der sowohl Switching als auch statisches Routing ermöglicht. Wenn der Anbieter sowohl Aggregation als auch Zugriff realisiert hat (Routing nur im Kernnetz), passt der T2600G-28SQ in alle Ebenen. Bei dynamisch gerouteten Aggregationen müssen jedoch einige Einschränkungen in den Nutzungsszenarien berücksichtigt werden.
Das Modell T2600G-28SQ ist ein vollwertiger aktiver Ethernet-Switch ohne zusätzliche Einschränkungen, die bei der Nutzung von Technologien wie xPON oder ähnlichen auftreten können. Beispielsweise gibt es keine Bedrohung durch einen plötzlichen Geschwindigkeitsabfall bei steigender Nutzeranzahl oder durch schlechte Kompatibilität zwischen Geräten verschiedener Anbieter und Firmware-Versionen. An die Schnittstellen des Geräts können sowohl Endnutzer als auch untergeordnete Zugriffsswitches mit optischen Uplinks angeschlossen werden, beispielsweise das Modell T2600G-28TS. In der folgenden Abbildung sind die gängigsten Beispiele solcher Verbindungen dargestellt.

Für den Zugang zum Endbenutzer-Netzwerk kann Glasfaser oder Twisted-Pair-Kabel verwendet werden. Auf der Seite des Abonnenten kann Glasfaser entweder über einen Medienkonverter beendet werden (wie z.B. der TP-Link MC220L) oder über eine optische Schnittstelle in einem SOHO-Router.
Um einen nahegelegenen Client anzuschließen, können vier RJ-45-Ports verwendet werden, die mit Geschwindigkeiten von 10/100/1000 Mbit/s arbeiten. Sollte dies aus irgendeinem Grund nicht ausreichen, kann der Anbieter die optischen Schnittstellen des Switches auf Kupfer umwandeln. Dies kann mit speziellen „Kupfer“-SFP-Modulen mit RJ-45-Stecker erfolgen. Diese Lösung kann jedoch nicht als Standard betrachtet werden.
Einige Praxisbeispiele
Um ein vollständiges Bild zu geben, führen wir einige Beispiele für die Verwendung von Switches des Modells T2600G-28SQ an.
Provider aus der Region Moskau , der neben Internet auch Telefon- und Kabel-TV-Dienste anbietet, verwendet den T2600G-28SQ auf Zugriffsebene für Netzwerke im Privatsektor (Einfamilienhäuser und Reihenhäuser). Vom Kunden aus erfolgt die Anbindung an Router mit SFP-Port sowie Medienkonvertern. Momentan werden bei uns keine SOHO-Router mit SFP-Port in Serie produziert, jedoch denken wir natürlich darüber nach.
Telekommunikationsanbieter aus dem Bezirk Pawlowskij Posad setzt die Switches T2600G-28SQ als „kleine Aggregation“ ein und verwendet an der Zugriffsebene die Switch-Modelle T2600G-28TS und T2500G-10TS.
Gruppe von Unternehmen bieten im Südosten der Region Moskau (Kolomna, Luhowizy, Saraisk, Serebryanye Prud, Ozyory) Internetzugang, TV, Telefonie und Videoüberwachungssysteme an. Die ungefähre Topologie sieht hier ähnlich aus wie bei MKS: T2600G-28SQ auf der Aggregationsebene und T2600G-28TS sowie T2500G-10TS auf der Zugriffsebene.
Provider aus Krasnoznamensk bietet Internetzugang über ein Netzwerk mit tiefem optischen Durchdringung an. Auch hier basieren die Lösungen auf dem T2600G-28SQ.
In den folgenden Abschnitten werden wir einige Funktionen des Modells T2600G-28SQ kurz vorstellen. Um den Inhalt nicht zu überladen, haben wir eine Reihe von Optionen wie QinQ (VLAN VPN), Routing, QoS und andere weggelassen. Wir denken, dass wir in einem der nächsten Beiträge darauf zurückkommen können.
Funktionen des Switches
Redundanz – STP
STP – Spanning Tree Protocol. Das Protokoll für das verbindende Baumnetzwerk ist schon seit langem bekannt, und dafür gebührt unser Dank der angesehenen Radia Perlman. In modernen Netzwerken versuchen Administratoren, die Verwendung dieses Protokolls zu vermeiden. Ja, STP hat seine Nachteile. Es ist gut, wenn es eine Alternative gibt. Doch wie oft der Fall, hängt die Alternative zu diesem Protokoll stark vom Anbieter ab. Deshalb bleibt das Spanning Tree Protocol bis heute fast die einzige Lösung, die von praktisch allen Herstellern unterstützt wird und allen Netzwerkadministratoren bekannt ist.
Der TP-Link Switch T2600G-28SQ unterstützt drei Versionen von STP: klassisches STP (IEEE 802.1D), RSTP (802.1W) und MSTP (802.1S).

Für die meisten kleinen Internetanbieter in Russland ist das herkömmliche RSTP eine durchaus geeignete Option, da es im Vergleich zur klassischen Version einen entscheidenden Vorteil hat: eine deutlich kürzere Konvergenzzeit.
Der derzeit flexibelste Protokoll ist MSTP, das virtuelle Netzwerke (VLAN) unterstützt und mehrere verschiedene Bäume zulässt, wodurch alle verfügbaren Backup-Pfade genutzt werden können. Der Administrator kann mehrere verschiedene Instanzen eines Baumes (bis zu acht) erstellen, die jeweils eine bestimmte Gruppe von virtuellen Netzwerken bedienen.




Die Feinheiten von MSTPAnfängern unter den Administratoren ist bei der Verwendung von MSTP besondere Aufmerksamkeit zu empfehlen. Dies hängt damit zusammen, dass das Verhalten des Protokolls innerhalb und zwischen Regionen unterschiedlich ist. Daher ist es beim Konfigurieren von Switches wichtig, darauf zu achten, dass man innerhalb einer Region bleibt.

Was ist also dieses berüchtigte Region? In den Begriffen von MSTP bezeichnet eine Region eine Gruppe von miteinander verbundenen Switches, die die folgenden Merkmale gemeinsam haben: den Namen der Region, die Versionsnummer und die Verteilung der virtuellen Netzwerke (VLAN) zwischen den Instanzen des Protokolls.
Natürlich ermöglicht das Spanning Tree-Protokoll (in jeder Version) nicht nur die Bekämpfung von Schleifen, die beim Anschließen von Backup-Verbindungen auftreten, sondern schützt auch vor Kabelumschaltungsfehlern, wenn ein Ingenieur absichtlich oder versehentlich falsche Ports verbindet und dadurch Schleifen erzeugt.
Erfahrene Netzwerkadministratoren ziehen es oft vor, verschiedene zusätzliche Optionen zu nutzen, um das STP-Protokoll vor Angriffen oder komplexen Notfallszenarien zu schützen. Das Modell T2600G-28SQ bietet eine Reihe solcher Möglichkeiten: Loop Protect und Root Protect, TC Guard, BPDU Protect und BPDU Filter.

Die korrekte Verwendung der oben genannten Optionen in Kombination mit anderen unterstützten Schutzmechanismen ermöglicht es, das lokale Netzwerk zu stabilisieren und vorhersehbarer zu gestalten.
Redundanz – LAG
LAG – Link Aggregation Group. Dies ist eine Technologie, die es ermöglicht, mehrere physische Kanäle zu einem logischen Kanal zu bündeln. Alle anderen Protokolle hören auf, die in den LAG eingebundenen physikalischen Kanäle einzeln zu nutzen und erkennen nur noch eine logische Schnittstelle. Ein Beispiel für ein solches Protokoll ist STP.

Die Lastverteilung des Benutzertraffics zwischen den physischen Kanälen innerhalb des Logischen erfolgt auf Grundlage einer Hash-Summe. Für die Berechnung können die MAC-Adressen des Absenders, des Empfängers oder deren Paar verwendet werden; auch die IP-Adressen des Absenders, des Empfängers oder deren Paar können genutzt werden. Informationen aus den Protokollen der vierten Schicht (TCP/UDP-Ports) werden nicht berücksichtigt.
Der Switch T2600G-28SQ unterstützt statische und dynamische LAG.


Für die Abstimmung der Betriebsparameter einer dynamischen Gruppe wird das Protokoll LACP verwendet.
Sicherheit – Zugriffslisten (ACL)
Unser Switch T2600G-28SQ ermöglicht das Filtern des Benutzertraffics mithilfe von Zugriffslisten (ACL – Access Control List).
Zugriffslisten können in mehreren verschiedenen Typen vorliegen: MAC und IP (IPv4/IPv6), kombinierte sowie für die Inhaltsfilterung. Die Anzahl der unterstützten Zugriffslisten jedes Typs hängt vom aktuell verwendeten SDM-Template ab, das wir in einem anderen Abschnitt beschrieben haben.

Der Betreiber kann diese Option nutzen, um unerwünschten Datenverkehr im Netzwerk zu blockieren. Ein Beispiel für solchen Datenverkehr sind IPv6-Pakete (mittels des Ethertype-Feldes), wenn der entsprechende Dienst nicht bereitgestellt wird, oder das Blockieren von SMB über Port 445. In einem Netzwerk mit statischer DHCP/BOOTP-Adressierung ist Datenverkehr nicht erforderlich, sodass der Administrator mit ACL UDP-Datenpakete über die Ports 67 und 68 filtern kann. Lokalen IPoE-Datenverkehr kann ebenfalls mit einer ACL blockiert werden. Eine solche Blockierung kann in Netzwerken von Betreibern, die PPPoE verwenden, von Bedeutung sein.
Der Prozess zur Nutzung von Zugriffslisten ist äußerst einfach. Nachdem die Liste erstellt wurde, müssen die erforderliche Anzahl an Einträgen hinzugefügt werden, deren Typ direkt vom konfigurierten Blatt abhängt.
Konfiguration von Zugriffslisten





Es ist zu beachten, dass Zugangskontrolllisten nicht nur herkömmliche Operationen zur Genehmigung oder Ablehnung des Datenverkehrs durchführen können, sondern auch dessen Umleitung, Spiegelung sowie die Umbenennung oder Geschwindigkeitsbegrenzung des Verkehrs ermöglichen.
Nachdem alle erforderlichen ACLs erstellt wurden, kann der Administrator sie installieren. Es ist möglich, eine Zugangskontrollliste sowohl an einen physikalischen Port als auch an ein bestimmtes virtuelles Netzwerk anzuhängen.

Sicherheit – Anzahl der MAC-Adressen
Manchmal haben Betreiber die Notwendigkeit, die Anzahl der MAC-Adressen zu begrenzen, die ein Switch an einem bestimmten Port lernen kann. Zugangskontrolllisten ermöglichen diesen Effekt, erfordern jedoch eine explizite Angabe der MAC-Adressen. Wenn es nur darum geht, die Anzahl der Adressen zu begrenzen, ohne sie explizit anzugeben, kommt die Port-Sicherheit zur Hilfe.

Eine solche Einschränkung kann erforderlich sein, etwa um zu verhindern, dass ein gesamtes lokales Netzwerk an eine Schnittstelle des Provider-Switches angeschlossen wird. Hier sollte erwähnt werden, dass es sich um eine switchbasierte Verbindung handelt, da beim Anschluss über einen Router auf der Client-Seite der T2600G-28SQ nur eine Adresse lernen kann – die MAC-Adresse, die dem WAN-Port des Client-Routers gehört.
Es gibt eine ganze Reihe von Angriffen, die auf die Switching-Tabelle abzielen. Dazu gehören sowohl das Überlaufen der Tabelle als auch MAC-Spoofing. Die Funktion zur Port-Sicherheit hilft, das Überlaufen der Bridging-Tabelle und Angriffe zu verhindern, die darauf abzielen, den Switch absichtlich neu zu programmieren und seine Bridging-Tabelle zu vergiften.
Man darf auch die fehlerhafte Client-Hardware nicht unberücksichtigt lassen. Es kommt häufig vor, dass eine nicht richtig funktionierende Netzwerkkarte eines Computers oder ein Router Datenströme mit völlig willkürlichen Absender- und Empfängeradressen erzeugt. Solch ein Datenstrom kann die CAM problemlos erschöpfen.
Eine weitere Möglichkeit, die Anzahl der verwendeten Einträge in der Bridge-Tabelle zu begrenzen, ist das Tool MAC VLAN Security, mit dem der Administrator die maximale Anzahl von Einträgen für ein bestimmtes virtuelles Netzwerk festlegen kann.

Neben der Verwaltung dynamischer Einträge in der Switching-Tabelle kann der Administrator auch statische Einträge erstellen.

Die Bridge-Tabelle des Modells T2600G-28SQ kann maximal bis zu 16K Einträge aufnehmen.
Eine weitere Option zur Filterung des Benutzerverkehrs ist die Funktion Port Isolation, die es ermöglicht, ausdrücklich anzugeben, in welche Richtung die Weiterleitung gestattet ist.


Sicherheit – IMPB
In unserem weiten Land variiert der Ansatz der Telekommunikationsanbieter zur Gewährleistung der Netzwerksicherheit von vollständiger Ignorierung bis zur maximalen Nutzung aller vom Gerät unterstützten Optionen.
Die Funktionen IPv4 IMPB (IP-MAC-Port-Bindung) und IPv6 IMPB bieten Schutz vor einer Vielzahl von Angriffen, die mit der Fälschung von IP- und MAC-Adressen von Abonnenten in Verbindung stehen, indem sie IP- und MAC-Adressen der Kundengeräte an dem Switch-Interface des Anbieters binden. Diese Bindung kann manuell oder unter Verwendung von ARP-Scanning und DHCP-Snooping-Funktionen erfolgen.
Haupteinstellungen IMPB





Es sei fairerweise erwähnt, dass eine spezielle Funktion – DHCP-Filter – zum Schutz des DHCP-Protokolls eingesetzt werden kann.


Mit dieser Funktion kann der Netzwerkadministrator manuell angeben, welche Interfaces mit echten DHCP-Servern verbunden sind. So wird verhindert, dass betrügerische DHCP-Server in den Prozess der IP-Parameterverhandlung eindringen.
Sicherheit – DoS-Abwehr
Das betrachtete Modell ermöglicht den Schutz der Nutzer vor mehreren der bekanntesten und zuvor weit verbreiteten DoS-Angriffe.

Die meisten der genannten Angriffe sind für Geräte mit modernen Betriebssystemen heutzutage kaum noch bedrohlich. Dennoch können in unseren Netzwerken immer noch Systeme auftreten, die seit vielen Jahren keine Software-Updates mehr erhalten haben.
DHCP-Unterstützung
Der TP-Link T2600G-28SQ Switch kann sowohl als DHCP-Server als auch als Relay fungieren und bietet zudem eine Vielzahl an DHCP-Nachrichtenfiltrierungen, sofern ein anderes Gerät als Server fungiert.
Der einfachste Weg, den Nutzern die notwendigen IP-Parameter zur Verfügung zu stellen, besteht darin, den integrierten DHCP-Server des Switches zu aktivieren. Damit können grundlegende Parameter bereits an die Abonnenten übermittelt werden.



Wir haben unseren SOHO-Router Archer C6 mit einem der Interfaces des Switches verbunden und erfolgreich die Adresszuweisung an das Client-Gerät überprüft.
So sieht es aus

Ein in den Switch integrierter DHCP-Server ist möglicherweise nicht die skalierbarste und flexibelste Lösung: Es fehlt an Unterstützung für benutzerdefinierte Optionen und die Verbindung zu IPAM ist nicht gegeben. Wenn der Betreiber jedoch mehr Kontrolle über den Prozess der IP-Adressvergabe benötigt, sollte ein dedizierter DHCP-Server in Betracht gezogen werden.
Der T2600G-28SQ ermöglicht es, für jedes benutzerdefinierte Subnetz einen separaten dedizierten DHCP-Server anzugeben, an den die betreffenden Protokollnachrichten weitergeleitet werden. Die Auswahl des Subnetzes erfolgt, indem der entsprechende L3-Schnittstelle zugeordnet wird: VLAN (SVI), gerouteter Port oder Port-Channel.


Um das Funktionieren des Relays zu überprüfen, haben wir einen separaten Router eines anderen Herstellers konfiguriert, der als DHCP-Server fungiert. Die Konfiguration ist unten dargestellt.
R1#sho run | s pool
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8Der Client-Router hat erneut erfolgreich eine IP-Adresse erhalten.
R1#sho ip dhcp binding
Bindings von allen Pools, die nicht mit VRF verbunden sind:
IP-Adresse Client-ID/ Lease-Ablaufdatum Typ
Hardware-Adresse/
Benutzername
192.168.0.2 010c.8063.f0c2.6a 24. Mai 2019 17:07 Uhr AutomatischUnter dem Spoiler befindet sich der Inhalt eines abgefangenen Pakets zwischen dem Switch und dem dedizierten DHCP-Server.
Inhalt des Pakets
Es ist bemerkenswert, dass der Switch die Option 82 unterstützt. Bei Aktivierung fügt der Switch Informationen über die Schnittstelle hinzu, von der die DHCP Discover-Nachricht empfangen wurde. Darüber hinaus ermöglicht das Modell T2600G-28SQ eine Anpassung der Richtlinien für den Umgang mit den hinzugefügten Informationen bei der Einfügung der Option Nr. 82. Die Unterstützung dieser Option kann nützlich sein, wenn einem Client unabhängig von der übermittelten Client-ID die gleiche IP-Adresse zugewiesen werden soll.
Im folgenden Bild ist die DHCP Discover-Nachricht (über das Relay übermittelt) mit der hinzugefügten Option Nr. 82 dargestellt.
Nachricht mit der Option Nr. 82
Natürlich kann die Option Nr. 82 auch ohne den vollständigen Konfigurationsaufbau eines DHCP-Relays verwaltet werden, die entsprechenden Einstellungen finden Sie im Unterabschnitt 'DHCP L2 Relay'.


Lassen Sie uns nun die Einstellungen des DHCP-Servers ändern, um die Funktionsweise der Option Nr. 82 zu demonstrieren.
R1#sho run | s dhcp
ip dhcp pool test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 8.8.8.8
class option82_test
address range 192.168.0.222 192.168.0.222
ip dhcp class option82_test
relay agent information
relay-information hex 010e010c74702d6c696e6b5f746573740208000668ff7b66f675
R1#sho ip dhcp binding
Bindings from all pools not associated with VRF:
IP address Client-ID/ Lease expiration Type
Hardware address/
User name
192.168.0.222 010c.8063.f0c2.6a 24. Mai 2019 17:33 Uhr AutomatischSo könnte es ungefähr aussehen.
Die DHCP Interface Relay-Funktion ist nützlich, wenn ein Switch nicht nur über eine L3-Schnittstelle verfügt, die an ein bestimmtes Netzwerk angeschlossen ist, sondern auch, wenn diese Schnittstelle eine IP-Adresse hat. Fehlt die Adresse jedoch auf einer solchen Schnittstelle, kommt die DHCP VLAN Relay-Funktion ins Spiel. In diesem Fall wird die Subnetzinfo von der Standard-Schnittstelle abgerufen, was bedeutet, dass die Adressräume in mehreren virtuellen Netzwerken identisch sind (sich überlappen).

Oft müssen Betreiber auch ihre Kunden vor versehentlichem oder böswilligem Aktivieren eines DHCP-Servers auf der Kundenausrüstung schützen. Diese Funktionalität wollen wir in einen Abschnitt auslagern, der sich mit Sicherheitsfragen beschäftigt.
IEEE 802.1X
Eine der Methoden zur Authentifizierung von Benutzern im Netzwerk ist die Verwendung des IEEE 802.1X-Protokolls. Obwohl die Beliebtheit dieses Protokolls in den Netzwerken von Telekommunikationsanbietern in Russland bereits nachlässt, wird es nach wie vor hauptsächlich in lokalen Netzwerken großer Unternehmen eingesetzt, um interne Benutzer der Organisation zu authentifizieren. Der Switch T2600G-28SQ unterstützt 802.1X, sodass der Anbieter es bei Bedarf problemlos aktivieren kann.
Für das IEEE 802.1X-Protokoll sind drei Teilnehmer erforderlich: die Client-Hardware (Supplicant), der Zugangsswitch des Anbieters (Authentifier) und die Authentifizierungsserver (typischerweise RADIUS-Server).

Die grundlegende Konfiguration auf der Seite des Anbieters ist denkbar einfach. Es muss lediglich die IP-Adresse des verwendeten RADIUS-Servers angegeben werden, auf dem die Benutzerdatenbank gespeichert wird, sowie die Schnittstellen ausgewählt werden, für die eine Authentifizierung erforderlich ist.
Grundkonfiguration 802.1X




Von der Client-Seite ist ebenfalls eine geringe Konfiguration erforderlich. Alle modernen Betriebssysteme verfügen bereits über die notwendige Software. Bei Bedarf kann jedoch der TP-Link 802.1x Client installiert und verwendet werden – eine Anwendung, die eine Authentifizierung des Clients im Netzwerk ermöglicht.
Beim direkten Anschluss eines Benutzer-PCs an das Netzwerk des Anbieters müssen die Authentifizierungseinstellungen für die Netzwerkkarte, die für die Verbindung verwendet wird, aktiviert werden.



Allerdings wird heutzutage das Netzwerk des Betreibers in der Regel nicht direkt mit dem Computer des Nutzers verbunden, sondern über einen sogenannten SOHO-Router, der die Funktionalität des lokalen Netzwerks des Abonnenten gewährleistet (sowohl für kabelgebundene als auch drahtlose Segmente). In diesem Fall müssen alle Einstellungen für das 802.1X-Protokoll direkt am Router vorgenommen werden.

Wir glauben, dass diese Art der Authentifizierung in Betreibernetzwerken zu Unrecht in Vergessenheit geraten ist. Ja, die feste Bindung des Nutzers an den Port des Switches könnte möglicherweise die einfachere Lösung aus der Sicht der Benutzergeräteeinstellungen sein. Aber wenn die Verwendung von Login und Passwort erforderlich ist, wird 802.1X im Vergleich zu den verwendeten Verbindungen auf Basis von PPTP/L2TP/PPPoE kein so schwerfälliges Protokoll sein.
PPPoE ID Insertion
Viele Nutzer, nicht nur in unserem Land, sondern weltweit, ziehen nach wie vor sehr einfache Passwörter vor. Leider sind Fälle von Datenmissbrauch keine Seltenheit. Wenn ein Anbieter in seinem Netzwerk das PPPoE-Protokoll zur Authentifizierung der Benutzer verwendet, kann der TP-Link T2600G-28SQ Switch bei Problemen mit dem Verlust von Zugangsdaten helfen. Dies geschieht durch das Hinzufügen eines speziellen Tags zur PPPoE Active Discovery-Nachricht. So kann der Anbieter den Abonnenten nicht nur anhand von Benutzername und Passwort, sondern auch mit zusätzlichen Informationen wie der MAC-Adresse des Client-Geräts und dem Switch-Interface, an das es angeschlossen ist, authentifizieren.

Einige Anbieter möchten grundsätzlich dem Abonnenten (Paar von Benutzername und Passwort) die Möglichkeit verwehren, im Netzwerk zu navigieren. Die Funktion zur PPPoE ID-Einfügung kann auch in diesem Fall helfen.
IGMP
Das IGMP-Protokoll (Internet Group Management Protocol) existiert bereits seit mehreren Jahrzehnten. Seine Popularität ist verständlich und leicht nachvollziehbar. Doch an der IGMP-Interaktion sind zwei Parteien beteiligt: der PC des Benutzers (oder ein anderes Gerät, wie z. B. ein STB) und der IP-Router, der einen bestimmten Netzwerksegment bedient. Switches sind an diesem Austausch nicht beteiligt. Allerdings ist die letzte Aussage nicht ganz korrekt. Oder in modernen Netzwerken ist sie überhaupt nicht korrekt. Die Unterstützung des IGMP-Protokolls durch Switches ist notwendig, um die Weiterleitung von Multicast-Verkehr zu optimieren. Indem der Switch den Benutzerverkehr überwacht, erkennt er IGMP-Report-Nachrichten, mit denen er die Ports für die Multicast-Datenweiterleitung bestimmt. Diese Funktion wird als IGMP Snooping bezeichnet.



Die Unterstützung des IGMP-Protokolls kann nicht nur zur Optimierung des Verkehrs eingesetzt werden, sondern auch zur Identifizierung von Abonnenten, denen bestimmte Dienste, wie z. B. IPTV, bereitgestellt werden können. Das gewünschte Ziel kann sowohl durch manuelle Konfiguration der Filterparameter als auch durch die Verwendung von Authentifizierung erreicht werden.



Die Unterstützung von Gruppenverkehr auf TP-Link-Switches ist sehr flexibel umgesetzt. So können beispielsweise alle Parameter für jedes virtuelle Netzwerk separat festgelegt werden.


Wenn mehrere Subnetze, in denen sich die Empfänger des Gruppenverkehrs befinden, an dasselbe Router-Interface angeschlossen sind, muss der Router mehrere Kopien von Paketen über dieses Interface weiterleiten (je eine für jedes virtuelle Netzwerk).
Die Optimierung des Gruppenverkehrs kann in diesem Fall durch die Technologie MVR – Multicast VLAN Registration – erfolgen.


Das Kernkonzept besteht darin, ein einziges virtuelles Netzwerk zu erstellen, das alle Empfänger vereint. Dieses virtuelle Netzwerk wird jedoch nur für den Gruppenverkehr verwendet. Dieser Ansatz ermöglicht es dem Router, nur eine Kopie des Gruppenverkehrs über das Interface zu senden.
DDM, OAM und DLDP
DDM – Digital Diagnostic Monitoring. Bei der Nutzung optischer Module ist es häufig erforderlich, den Zustand des Moduls sowie des angeschlossenen optischen Kanals zu überwachen. Die Funktion DDM unterstützt dabei. Mit ihr können die Ingenieure des Betreibers die Temperatur jedes Moduls, das diese Funktionalität unterstützt, die Spannung und den Strom sowie die Leistung der gesendeten und empfangenen optischen Signale überwachen.

Die Festlegung von Schwellenwerten für die zuvor beschriebenen Parameter ermöglicht es, ein Ereignis zu generieren, wenn diese den zulässigen Bereich überschreiten.
Konfiguration der DDM-Auslösungsschwellen


Natürlich kann der Administrator die aktuellen Werte der angegebenen Parameter einsehen.

Der TP-Link T2600G-28SQ Switch verfügt über ein aktives Luftkühlungssystem. Darüber hinaus haben wir bisher keine Überhitzung von SFP-Modulen in unseren Switches erlebt, die durch die hohe Portdichte verursacht wurde. Sollte jedoch theoretisch ein Problem mit einem SFP-Modul auftreten, wird der Administrator dank DDM sofort über eine potenziell gefährliche Situation informiert. Die Gefahr besteht hier offensichtlich nicht für den Switch selbst, sondern für die Diode den Laser im SFP, da mit steigender Temperatur eine Abnahme der Leistung des optischen Signals eintreten kann, was den optischen Budget beeinträchtigen würde.
Es ist zudem erwähnenswert, dass die TP-Link Switches keine "Vendor-Lock"-Funktion haben, das heißt, es werden alle kompatiblen SFP-Module unterstützt, was natürlich sehr praktisch für Netzwerkadministratoren ist.
OAM — Betrieb, Verwaltung und Wartung (IEEE 802.3ah). OAM ist ein Protokoll der zweiten Schicht des OSI-Modells, das zur Überwachung und zur Fehlerdiagnose in Ethernet-Netzwerken vorgesehen ist. Mit diesem Protokoll kann der Switch die Leistung einer bestimmten Verbindung und Fehler überwachen sowie Warnmeldungen generieren, damit der Netzwerkadministrator das Netzwerk effektiver verwalten kann.
Grundkonfiguration von OAM



Details zur Funktionsweise von OAMZwei benachbarte Geräte, die OAM unterstützen, führen regelmäßige Nachrichtenwechsel durch, indem sie OAMPDU senden, die in drei Typen unterteilt sind: Informational, Event Notification und Loopback Control. Mit den Informations-OAMPDU senden benachbarte Switches statistische Informationen sowie vom Administrator definierte Daten aneinander. Dieser Nachrichtentyp wird auch zur Aufrechterhaltung der Verbindung über das OAM-Protokoll verwendet. Event Notification-Nachrichten kommen bei der Überwachungsfunktion zum Einsatz, um die Gegenstelle über aufgetretene Störungen zu informieren. Loopback Control-Nachrichten werden verwendet, um Schleifen in der Leitung zu bestimmen.
Im Folgenden haben wir die wichtigsten Funktionen aufgelistet, die das OAM-Protokoll bereitstellt:
- Umgebungsüberwachung (Erkennung und Zählung defekter Pakete),

- RFI – Remote Failure Indication (Benachrichtigung über einen Fehler im Kanal),

- Remote Loopback (Test des Kanals zur Messung der Latenz, Latenzvariationen (Jitter), Anzahl verlorener Frames).

Eine weitere gefragte Funktion bei optischen Switches ist die Möglichkeit zur Erkennung von Problemen im Kommunikationskanal, die dazu führen, dass der Kanal simplex wird, das heißt, Daten können nur in eine Richtung gesendet werden. Unsere Switches verwenden zur Erkennung unidirektionaler Links das Protokoll DLDP – Device Link Detection Protocol. Fairerweise sollte erwähnt werden, dass das DLDP-Protokoll sowohl an optischen als auch an kupfernen Schnittstellen unterstützt wird, jedoch wird es unserer Meinung nach am häufigsten bei der Nutzung von Glasfaserleitungen benötigt.

Bei der Erkennung eines unidirektionalen Kanals kann der Switch automatisch die problematische Schnittstelle deaktivieren, was zur Neubildung des STP-Baums und zur Nutzung von Backup-Kanälen führt.
In unserem Sortiment finden Sie SFP-Module, die die Signalübertragung über ein einzelnes Glasfaser durchführen. Diese arbeiten ausschließlich paarweise und nutzen zur Übertragung innerhalb des Paares optische Signale mit unterschiedlichen Wellenlängen. Ein Beispiel hierfür sind die Paare TL-SM321A und TL-SM321B. Bei der Verwendung solcher Module führt ein Schaden an einer Faser zur vollständigen Unbrauchbarkeit des gesamten optischen Kanals. Dennoch wird das DLDP-Protokoll auf solchen Kanälen gefragt sein, da, obwohl dies äußerst selten vorkommt, der Kanal unterschiedliche Transparenzeigenschaften für verschiedene Wellenlängen aufweisen kann. Ein wahrscheinlicheres Problem besteht jedoch darin, dass die Transparenz des Kanals je nach Lichtausbreitungsrichtung variiert. Um diese Probleme zu erkennen, ist ein Reflexogramm hilfreich, aber das ist eine ganz andere Geschichte.
LLDP
In großen Unternehmens- oder Betreiber-Netzwerken treten gelegentlich Probleme mit veralteter Dokumentation oder Ungenauigkeiten bei deren Erstellung auf. Ein Netzwerkadministrator kann vor der Situation stehen, herauszufinden, welches Betreibergerät tatsächlich an einem bestimmten Switch-Interface angeschlossen ist. Hier kommt das LLDP-Protokoll – Link Layer Discovery Protocol (IEEE 802.1AB) – ins Spiel.
Funktionsparameter von LLDP





Unsere Switches unterstützen das LLDP-Protokoll nicht nur zur Entdeckung benachbarter Switches oder anderer Netzwerkgeräte, sondern auch zur Bestimmung ihrer Fähigkeiten.



Die Kupferbrüder unseres Switches können LLDP-MED verwenden, um den Anschluss von IP-Telefonen zu erleichtern. Zudem kann der PoE-Switch mit dieser Funktion die Stromversorgungsparameter mit dem verbundenen Gerät abstimmen. Darüber haben wir bereits ausführlich in einem unserer .
SDM und Neubeauftragung
Fast alle modernen Switches verarbeiten durchlaufende Frames und Pakete ohne Einsatz eines zentralen Prozessors. Die Verarbeitung (Berechnung von Prüfziffern, Anwendung von Zugriffskontrolllisten und Durchführung weiterer Sicherheitsprüfungen sowie die Entscheidung über Switching/Routing) erfolgt durch spezialisierte Chips, was hohe Übertragungsgeschwindigkeiten des Benutzertraffics ermöglicht. Der hier besprochene Switch kann Traffic mit Mediumsgeschwindigkeit verarbeiten. Das bedeutet, dass die Leistung des Geräts ausreicht, um Daten mit maximal möglichen Geschwindigkeiten aller Ports gleichzeitig zu übertragen. Das Modell T2600G-28SQ verfügt über 24 Downlink-Ports (zu den Benutzern) mit Geschwindigkeiten von 1 Gbit/s sowie 4 Uplink-Ports (zum Netzwerkkern) mit 10 Gbit/s. Die Kreuzschienenleistung des Switches beträgt 128 Gbit/s, was ausreichend ist, um die maximale Menge an eingehendem Traffic zu verarbeiten.
Um fair zu sein, sollte erwähnt werden, dass die Leistung der Switching-Matrix 95,2 Millionen Pakete pro Sekunde beträgt. Das bedeutet, dass bei Verwendung von minimal möglichen Frame-Längen von nur 64 Byte die Gesamtleistung des Geräts 97,5 Gbit/s erreicht. Ein solches Verkehrsprofil ist jedoch für Netzwerke von Telekommunikationsanbietern praktisch unrealistisch.
Was ist eine NeuunterzeichnungEin weiterer wichtiger Aspekt ist das Verhältnis zwischen den Geschwindigkeiten der Upload- und Download-Kanäle (Überzeichnung). Hier hängt alles eindeutig von der Topologie ab. Wenn der Administrator alle vier 10 GE-Schnittstellen zur Verbindung mit dem Kernnetzwerk nutzt und diese mittels LAG (Link Aggregation Group) oder Port-Channel zusammenführt, dann beträgt die statistisch erzielte Geschwindigkeit in Richtung Kern 40 Gbit/s, was mehr als ausreichend ist, um die Bedürfnisse aller angeschlossenen Kunden zu befriedigen. Es ist dabei nicht zwingend erforderlich, dass alle vier Upload-Links an ein physisches Gerät angeschlossen sind. Die Verbindung kann auch zu einem Switch-Stack oder zu zwei Geräten erfolgen, die in einem Cluster verbunden sind (mittels vPC oder ähnlicher Technologien). In diesem Fall gibt es keine Überzeichnung.

Alle vier Upload-Kanäle gleichzeitig zu nutzen, ist nicht nur durch ihre Zusammenführung mittels LAG möglich. Ein ähnlicher Effekt kann auch durch die richtige Konfiguration von MSTP erzielt werden, jedoch ist das bereits eine ganz andere Geschichte.
Eine oft anzutreffende Methode zur L2-Verbindung ist die Verwendung von zwei unabhängigen LAGs (jeweils bis zu einem Aggregationsswitch). In diesem Fall wird wahrscheinlich einer der virtuellen Links durch das STP-Protokoll (bei Verwendung von STP oder RSTP) blockiert. Die Subskription beträgt 5:6.

Eine weniger verbreitete, aber dennoch durchaus wahrscheinliche Situation: Der T2600G-28SQ ist über unabhängige Kanäle mit einem übergeordneten Switch oder mehreren Switches verbunden. Das STP/RSTP-Protokoll lässt nur einen solchen Link im aktiven Zustand. Die Subskription beträgt 5:12.

Aufgabe mit Sternchen: Berechnen Sie die Subskription für die in Abschnitt STP beschriebenen Szenarien, in denen wir ein Beispiel für eine Topologie betrachtet haben, bei der zwei Zugangsswitches mit einem Aggregationsgerät verbunden sind und untereinander verbunden sind.
Die programmierbaren Chips, die eine so hohe Übertragungsgeschwindigkeit erreichen, sind eine recht kostspielige Ressource. Daher streben wir an, ihre Verwendung durch eine angemessene Verteilung der Ressourcen zwischen verschiedenen Funktionen zu optimieren. Für die Verteilung ist das SDM – Switch Database Management – verantwortlich.

Die Verteilung erfolgt über das SDM-Profil. Derzeit stehen drei Profile zur Nutzung zur Verfügung, die unten aufgeführt sind.
- Das Default-Profil bietet eine ausgewogene Lösung zur Verwendung von MAC- und IP-Zugriffslisten sowie zur Erkennung von ARP-Einträgen.
- EnterpriseV4 maximiert die Ressourcen, die für MAC- und IP-Zugriffslisten verfügbar sind.
- EnterpriseV6 reserviert einen Teil der Ressourcen für die Verwendung von IPv6-Zugriffslisten.
Um das neue Profil anzuwenden, ist ein Neustart des Switches erforderlich.
Fazit
Gemäß der ursprünglichen Positionierung eignet sich dieser Switch am besten für Telekommunikationsanbieter, die vor der Herausforderung stehen, den Netzwerkzugang über große Entfernungen sicherzustellen. Das Gerät kann sowohl auf Zugangsebene, beispielsweise in Wohnsiedlungen und Reihenhaussiedlungen, als auch zur Aggregation von Kanälen, die von Zugangsswitches in Mehrfamilienhäusern kommen, eingesetzt werden; das heißt überall dort, wo Verbindungen zu entfernten Objekten erforderlich sind. Bei der Verwendung von optischen Übertragungsleitungen kann der angeschlossene Benutzer bis zu mehreren Kilometern entfernt sein.



Auf der Kundenseite können optische Verbindungen an kleinen Switches mit optischen Schnittstellen oder an Medienkonvertern terminiert werden.
Eine Vielzahl unterstützter Protokolle und Optionen ermöglicht die Verwendung des T2600G-28SQ in einem Ethernet-Netzwerk des Anbieters mit jeder Topologie und jedem Satz an Technologien und Dienstleistungen. Der Switch wird remote über eine Weboberfläche oder die Kommandozeile verwaltet. Für lokale Konfigurationen kann der Konsolenport genutzt werden; das Modell T2600G-28SQ bietet zwei Ports: RJ-45 und micro-USB. Als kleine Einschränkung sei erwähnt, dass die Unterstützung für Stacking und einen zweiten Stromversorgungsblock fehlt. Angeblich ist eine zweite elektrische Leitung außerhalb von Rechenzentren ohnehin eine Seltenheit.
Zu seinen Vorteilen zählen der niedrige Preis, die große Anzahl an optischen Subscriber-Ports, die Verfügbarkeit von 10 GE optischen Uplinks sowie vier kombinierte Ports und der Datenverkehr mit Mediumgeschwindigkeit.
Quelle: habr.com
